ФЗ-152: что изменилось для бизнеса в 2025–2026 годах
Федеральный закон № 152-ФЗ «О персональных данных» в редакции 2025–2026 годов ужесточает требования к получению согласия субъектов, регулирует работу с биометрией и усиливает контроль за трансграничной передачей информации. Главная новость: с 1 сентября 2025 года вступили в силу поправки, требующие отдельного, явного и информированного согласия на обработку данных, что делает невозможным использование «скрытых» галочек в договорах оферты. Бизнесу необходимо пересмотреть формы сбора данных, политики конфиденциальности и реестры обработки.
Оглавление
- Что считается персональными данными в 2026 году
- Ключевые изменения 2025 года: новое согласие
- Биометрия и специальные категории данных
- Трансграничная передача и локализация
- Сроки хранения и обезличивание
- Чек-лист: как подготовиться к проверке Роскомнадзора
- Частые ошибки операторов
- FAQ: ответы на популярные вопросы
Что считается персональными данными в 2026 году
Персональные данные (ПДн) — это любая информация, относящаяся к прямо или косвенно определенному либо определяемому физическому лицу. В 2026 году трактовка остается широкой. К ПДн относятся не только паспортные данные или телефон, но и:
- IP-адреса и cookie-файлы (если они позволяют идентифицировать пользователя);
- Данные о местоположении (геолокация);
- Профили поведения на сайте (при связке с другими данными);
- Биометрические сведения (фото, отпечатки пальцев, голос).
Важно: Если вы можете выделить конкретного человека из массива данных (даже используя дополнительную информацию), эти данные считаются персональными.
Не полагайтесь на то, что «это просто email». В связке с ФИО или историей заказов email становится полноценным идентификатором, требующим защиты по стандартам 152-ФЗ.
Ключевые изменения 2025 года: новое согласие
С 1 сентября 2025 года вступили в силу важные поправки, касающиеся статьи 9 закона (Согласие субъекта персональных данных). Теперь требования к форме и содержанию согласия стали строже.
Основные требования к новому согласию:
- Конкретность и предметность. Согласие не может быть «на все сразу». Для каждой цели обработки (рассылка, исполнение договора, маркетинг) должно быть получено отдельное согласие или четко выделенный пункт.
- Запрет на bundled consent. Нельзя обуславливать оказание услуги предоставлением согласия на обработку данных, не необходимых для этой услуги (например, требовать согласие на маркетинговую рассылку для оформления доставки товара).
- Явное действие. Проставление галочки должно быть осознанным действием. Предзаполненные галочки или молчаливое согласие (бездействие) более не считаются легитимными основаниями для обработки маркетинговых данных.
- Простота отзыва. Механизм отзыва согласия должен быть таким же простым, как и механизм его предоставления (например, кнопка «Отписаться» в письме или личный кабинет).
Если ваше согласие «зашито» в текст договора купли-продажи или публичной оферты без возможности отдельного акцепта, такая форма признана недействительной для целей маркетинга и аналитики.
Биометрия и специальные категории данных
Закон разделяет обычные ПДн, специальные категории (раса, здоровье, убеждения) и биометрические данные. В редакции 2025–2026 годов контроль за биометрией усилен.
Биометрические данные — сведения, которые характеризуют физиологические и биологические особенности человека и используются для установления его личности (фотография для идентификации, сканы лица, отпечатки пальцев, голос).
Правила работы с биометрией:
- Обработка допускается только с письменного согласия субъекта (в электронной форме с квалифицированной электронной подписью или через ЕСИА/Госуслуги, если предусмотрено законом).
- Запрещена обработка биометрии без согласия, за исключением строго оговоренных случаев (например, оборона, безопасность, оперативно-розыскная деятельность).
- Использование систем распознавания лиц в коммерческих целях (ритейл, офисы) требует отдельного, явного информирования и согласия посетителей.
Трансграничная передача и локализация
Требование о локализации баз данных граждан РФ на территории России (ст. 18 152-ФЗ) остается фундаментальным. Перед сбором данных вы обязаны убедиться, что их запись, систематизация и хранение происходят на серверах в РФ.
Трансграничная передача (передача данных за рубеж) в 2026 году регулируется дифференцированно:
- В страны, обеспечивающие адекватную защиту (список утверждается Роскомнадзором): передача возможна свободно, если соблюдены остальные требования закона.
- В иные страны: Требуется оценка условий передачи. Оператор обязан убедиться, что иностранный получатель обеспечивает конфиденциальность и безопасность данных. В ряде случаев требуется уведомление Роскомнадзора до начала такой передачи.
Использование зарубежных CRM, облачных хранилищ или сервисов аналитики (например, Google Analytics, зарубежные чат-боты) может считаться трансграничной передачей. Проверьте юрисдикцию ваших подрядчиков.
Сроки хранения и обезличивание
Принцип «хранить не дольше необходимого» (ст. 5 152-ФЗ) стал одним из главных оснований для штрафов.
- Цель достигнута — данные удаляем. Если вы собрали телефон для обратной связи и перезвонили клиенту, но не получили согласия на дальнейшее хранение, данные должны быть удалены или обезличены.
- Обезличивание. Это процесс, при котором данные невозможно отнести к конкретному лицу без дополнительной информации. Обезличенные данные можно использовать для аналитики и статистики бессрочно, так как они перестают быть персональными.
- Регламент уничтожения. У вас должен быть внутренний документ, регламентирующий порядок и сроки удаления данных (акты уничтожения, автоматические скрипты очистки БД).
Чек-лист: как подготовиться к проверке Роскомнадзора
Для соответствия 152-ФЗ в 2026 году выполните следующие шаги:
| Шаг | Действие | Статус |
|---|---|---|
| 1 | Аудит процессов. Составьте реестр всех процессов обработки ПДн (сайт, CRM, кадры, видеонаблюдение). | ⬜ |
| 2 | Политика конфиденциальности. Обновите документ на сайте. Он должен быть доступен в один клик с любой страницы. | ⬜ |
| 3 | Формы согласия. Переработайте чебоксы на сайте. Уберите предзаполненные галочки. Разделите согласия на «исполнение договора» и «маркетинг». | ⬜ |
| 4 | Локализация. Убедитесь, что базы данных физических лиц находятся на серверах в РФ. | ⬜ |
| 5 | Уведомление РКН. Проверьте, подано ли уведомление об обработке ПДн (если нет исключений). Актуализируйте сведения в реестре операторов. | ⬜ |
| 6 | Работа с биометрией. Если используете фото/видео для идентификации, получите отдельные письменные согласия. | ⬜ |
| 7 | Договоры с обработчиками. Проверьте договоры с подрядчиками (хостинг, рассыльщики, CRM). В них должны быть прописаны обязанности по защите ПДн. | ⬜ |
Частые ошибки операторов
- «Согласие на всё». Одна галочка «Я согласен на обработку персональных данных» без расшифровки целей. Это нарушение принципа конкретности.
- Отсутствие ссылки на Политику. Форма сбора данных есть, а ссылки на документ, регламентирующий обработку, рядом нет.
- Хранение «про запас». Резюме кандидатов, заявки на обратный звонок трехлетней давности хранятся в открытом доступе без цели обработки.
- Игнорирование отзывов. Отсутствие технического механизма для быстрого удаления данных по запросу пользователя или отзыву согласия.
- Передача данных третьим лицам без уведомления. Например, передача базы клиентов партнеру для совместной акции без получения нового согласия от клиентов на такую передачу.
FAQ: ответы на популярные вопросы
Нужно ли согласие на обработку ПДн сотрудника? Да, но оно не является единственным основанием. Основной объем данных обрабатывается на основании Трудового кодекса РФ (исполнение трудового договора). Однако согласие потребуется для данных, не предусмотренных ТК (например, для ДМС, если это не прописано в договоре, или для публикации фото на сайте компании).
Штрафы за нарушение 152-ФЗ в 2026 году. Штрафы носят оборотный характер за повторные нарушения. За первичное нарушение требований к локализации или отсутствию согласия штрафы могут достигать сотен тысяч рублей. За утечку данных и неисполнение предписаний РКН штрафы исчисляются миллионами рублей.
Что делать, если клиент просит удалить все данные? Вы обязаны прекратить обработку и уничтожить данные в срок, установленный законом (обычно 30 дней), если нет иных законных оснований для хранения (например, требования налогового кодекса для хранения данных о транзакциях в течение 5 лет). В таком случае вы удаляете только те данные, которые не обязаны хранить по другим законам.
Можно ли собирать данные через мессенджеры? Да, но вы должны предупредить пользователя о том, что переписка обрабатывается, и получить его согласие (явное действие — начало диалога после публикации политики). Лучше переводить коммуникацию в защищенные каналы или CRM.